買比特幣 買比特幣
Ctrl+D 買比特幣
ads

SDC:慢霧分析 xToken 被黑:兩個被黑合約分別遭到假幣攻擊和預言機操作攻擊_ADAI價格

Author:

Time:1900/1/1 0:00:00

鏈聞消息,據慢霧區,針對DeFi項目xToken遭受攻擊損失近2500萬美元一事,慢霧安全團隊分析稱,本次被黑的兩個模塊分別是xToken中的xBNTa合約和xSNXa合約,兩個合約分別遭受了「假幣」攻擊和預言機操控攻擊。具體分析如下:一、xBNTa合約攻擊分析:1.xBNTa合約存在一個mint函數,允許用戶使用ETH兌換BNT,使用的是BancorNetowrk進行兌換,并根據BancorNetwork返回的兌換數量進行鑄幣。2.在mint函數中存在一個path變量,用于在BancorNetwork中進行ETH到BNT的兌換,但是path這個值是用戶傳入并可以操控的3.攻擊者傳入一個偽造的path,使xBNTa合約使用攻擊者傳入的path來進行代幣兌換,達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用ETH/BNT交易對進行兌換的限制,進而達到任意鑄幣的目的。二、xSNXa合約攻擊分析:1.xSNXa合約存在一個mint函數,允許用戶使用ETH兌換xSNX,使用的是KyberNetwork的聚合器進行兌換。2.攻擊者可以通過閃電貸Uniswap中ETH/SNX交易對的價格進行操控,擾亂SNX/ETH交易對的報價,進而擾亂KyberNetwork的報價。從而影響xSNXa合約的價格獲取3.攻擊者使用操控后的價格進行鑄幣,從而達到攻擊目的。

慢霧:上周Web3安全事件中總損失約1996.3萬美元:金色財經報道,據慢霧區塊鏈被黑檔案庫統計,2023年8月14日至8月20日,共發生安全事件10起,總損失約1996.3萬美元。具體事件:

8月14日,Hexagate發推表示,過去幾天單個MEV Bot被利用了約20萬美元。以太坊上Zunami Protocol協議遭遇價格操縱攻擊,損失1,179個ETH(約220萬美元)。

8月15日,以太坊擴容解決方案Metis官方推特賬號被盜。Sei Network官方Discord服務器遭入侵。Base生態項目RocketSwap遭遇攻擊,攻擊者竊取了RCKT代幣,將其轉換為價值約86.8萬美元的ETH并跨鏈到以太坊。

8月16日,借貸協議SwirlLend團隊從Base盜取了約290萬美元的加密貨幣,從Linea盜取了價值170萬美元的加密貨幣。BAYC推出的鏈上許可申請平臺Made by Apes的SaaSy Labs APl存在一個問題,允許訪問MBA申請的個人詳細信息。

8月18日,DeFi借貸協議Exactly Protocol遭受攻擊,損失超7,160枚ETH(約1204萬美元)。

8月19日,Cosmos生態跨鏈穩定幣協議Harbor Protocol被利用,損失42,261枚LUNA、1,533枚CMDX、1,571枚stOSMO和18,600萬億枚WMATIC。

8月20日,衍生品市場Thales發布公告稱,一名核心貢獻者的個人電腦/Metamask遭到黑客攻擊,一些充當臨時部署者(2.5萬美元)或管理員機器人(1萬美元)的熱錢包已被攻破。[2023/8/21 18:13:42]

慢霧:yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH;

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC;

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性;

4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值;

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣;

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復;

7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中;

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

公告 | 慢霧區發布EOS假賬號安全風險預警:慢霧區發布EOS假賬號安全風險預警稱:如果EOS錢包開發者沒對節點確認進行嚴格判斷,比如應該至少判斷15個確認節點才能告訴用戶賬號創建成功,那么就可能出現假賬號攻擊。

攻擊示意如下:

1.用戶使用某款EOS錢包注冊賬號(比如 aaaabbbbcccc),錢包提示注冊成功,但由于判斷不嚴格,這個賬號本質是還沒注冊成功;

2.用戶立即拿這個賬號去某交易所做提現操作;

3.如果這個過程任意環節作惡,都可能再搶注aaaabbbbcccc這個賬號,導致用戶提現到一個已經不是自己賬號的賬號里。

防御建議:輪詢節點,返回不可逆區塊信息再提示成功。[2018/7/16]

Tags:DAIUSDSDCETHADAI價格USDRsdc幣價格ethw幣價格

中幣下載
LAYER:關于WBF上線ASS的公告_CEL

WBF即將在開放區掘金板塊上線ASS/USDT交易對,充提暫不開啟,具體上線時間為:交易時間:2021/5/12?14:30項目介紹:AustralianSafeShepherd是Safemoo.

1900/1/1 0:00:00
AIN:跨鏈杠桿挖礦借貸協議Bagels Finance完成450萬美元種子輪融資,LD Capital、Merkle Labs領投_FINA

據官方消息,BagelsFinance跨鏈杠桿挖礦借貸協議完成450萬美元種子輪融資,LDCapital、MerkleLabs領投.

1900/1/1 0:00:00
NCE:幣安app下載 幣安Binance注冊教程_NAN

普通人想投資比特幣狗狗幣怎么開始第一步呢?想要投資比特幣狗狗幣,買幣是入門的第一步。購買比特幣要認準相對比較正規的平臺,比如國內的最大的交易平臺之一幣安(Binance)安全有保障,操作也簡單,

1900/1/1 0:00:00
USD:Pool-X上線OUSD Staking,鏈上Rebase可享15%福利!_MetaPool

親愛的Pool-X用戶,Pool-X平臺將于2021年05月14日20:00:00(UTC8)上線OUSD鎖倉.

1900/1/1 0:00:00
ETH:老崔說幣:比特幣回光返照,你還敢進場?_ethnicity

大家好,我是來自CKcoin平臺首席分析師老崔說幣,也是你們的朋友老崔說幣lcsb18888,老崔說幣公眾號同步專注數字貨幣行情分析,爭取為廣大幣友傳遞最有價值的幣市信息.

1900/1/1 0:00:00
WOO:金色前哨 | 拆分 YFI 代幣的新項目 Woofy來了 YFI突破9萬美元_WOOFY

昨夜今晨,Yearn.finance異軍突起。根據火幣全球站數據,截至發稿,YFI最高漲至95887.53YSDT,距5月11日開盤時的56297.92USDT,漲幅達70%.

1900/1/1 0:00:00
ads